Sauvegarder et restaurer une autorité de certification (CA) sous Windows Server 2016

Laissez les emplacements de la base de données et des journaux par défaut.

Cliquez sur : Configurer.

Le statut "Configuration réussie" apparait.
Cliquez sur Fermer.

Cliquez sur Fermer.

3.4. Restaurer la sauvegarde de votre autorité de certification

Maintenant que votre autorité de certification a été restaurée avec le même certificat et la même paire "clé publique / clé privée", vous devez restaurer la sauvegarde créée précédemment pour restaurer la liste des certificats délivrés ou révoqués, les modèles de certificats personnalisés que vous aviez créés, les listes de révocations, ...

Pour cela, ouvrez la console "Autorité de certification" et faites un clic droit "Toutes les tâches -> Restaurer l'autorité de certification" sur le nom de votre autorité de certification.

Comme l'assistant de restauration d'autorité de certification l'indique, les services de certificats Active Directory ne peuvent pas s'exécuter pendant la restauration de l'autorité de certification.
Cliquez sur "Oui" pour arrêter les services de certificats Active Directory.

Les services de certificats Active Directory s'arrêtent.

Une fois les services de certificats Active Directory arrêtés, l'assistant Restauration d'autorité de certification apparaitra.

Etant donné que nous avons déjà restauré le certificat et la clé privée de notre autorité de certification, il est inutile de cocher la 1ère case.

Donc, cochez uniquement la 2ème case (Base de données de certificats et journal de la base de données de certificats) pour restaurer :

• les certificats délivrés
• les certificats révoqués
• les modèles de certificats personnalisés
• les listes de révocation (CRL et CRL delta)
• etc

Ensuite, indiquez le chemin réseau du dossier partagé (créé précédemment) où se trouve la sauvegarde de votre autorité de certification.

Cliquez sur Terminer.

Une fois la restauration terminée, un avertissement s'affichera pour vous demander si vous souhaitez également restaurer des sauvegardes incrémentielles ou non.
Cliquez sur Ouil pour démarrer les services de certificats Active Directory.

Patientez pendant le démarrage des services de certificats Active Directory.

Les services de certificats ont été démarrés.

Si vous allez dans le dossier "Certificats révoqués", vous verrez que la liste des certificats révoqués a été restaurée.

Si vous faites un clic droit "Propriétés" sur "Certificats révoqués", vous verrez que les listes de révocation ont également été restaurées.

Si vous cliquez sur "Afficher la liste de révocation des certificats", puis que vous allez dans l'onglet "Liste de révocation", vous verrez que la liste des certificats révoqués a été restaurée.

La liste des certificats délivrés a également été restaurée.

La liste des modèles de certificat personnalisés a aussi été restaurée.
Pour voir la liste complète, faites un clic droit "Gérer" sur le dossier "Modèles de certificats".

Par contre, notez que les paramètres de votre autorité ne seront pas restaurés automatiquement.
D'où l'intérêt d'utiliser le fichier de configuration "CAPolicy.inf" pour la configuration initiale de votre autorité de certification et les commandes "certutil" pour les configurations post-installation pour pouvoir rapidement restaurer la configuration de votre autorité de certification.

Dans notre cas, nous avions activé l'audit de tous les événements de notre autorité de certification après son installation.
Comme vous pouvez le voir, l'audit n'est plus activé, malgré que la sauvegarde de notre autorité ait été restaurée.

Pour réactiver rapidement l'audit sur notre autorité de certification, nous allons réutiliser la même commande que celle que nous avions utilisée par le passé :

Batch

certutil -setreg CA\AuditFilter 127

Pour que la modification soit prise en compte dans ce cas-ci, nous devons également redémarrer notre autorité :

Batch

net stop certsvc && net start certsvc

Maintenant, l'audit a été réactivé.